logo

CybergON Blog

Advancing the State of Cybersecurity.

Un miliardo di dollari e l'ombra di Silk Road

Silk Road è stato un sito di e-commerce del Dark Web, forse il più famoso, sicuramente uno dei pochi giunti alla ribalta della cronaca. Per essere più precisi la cronaca l’ha occupata il suo fondatore, Ross Ulbricht, condannato nel 2017 all’ergastolo senza possibilità di concessione di libertà condizionale.

Ulbricht o Dread Pirate Roberts, classe 1984, creò il sito Silk Road nel 2009, agli albori di questo mondo, nell’anno zero dei Bitcoin; nei quattro anni successivi, fino al suo arresto, il sito vendette ogni genere di droga, pornografia, prodotti contraffatti, documenti falsificati e armi. Si stimava che gli incassi fossero di oltre due milioni di dollari al giorno.

silk-road

In piena battaglia per le elezioni presidenziali 2020, la notizia del trasferimento di 69369 Bitcoin ha destato subito attenzione. Si tratta di circa un miliardo di dollari e si sapeva che il Wallet di provenienza fosse precedentemente associato proprio a Silk Road. Gli analisti della blockchain che hanno segnalato la transazione, hanno anche sottolineato come si trattasse del quarto più grande wallet a livello mondiale e che fosse dormiente dal 2015.

Non tutti sanno che un wallet Bitcoin non può essere aperto da nessuno, autorità comprese, senza il possesso della chiave privata con cui è stato creato. Una delle cose a cui fare maggiore attenzione quando si maneggiano criptovalute è proprio evitare di perdere la chiave privata altrimenti il contenuto del wallet rimarrà per sempre all’interno del sistema senza possibilità di essere estratto. Un limbo tecnologico per valute virtuali.

Altro dettaglio: Bitcoin non è completamente anonimo, chi paga e chi riceve il denaro devono sapere gli indirizzi dei loro rispettivi wallet e ogni singola transazione è scritta su un registro pubblico: la “ledger”.

silk-road-bitcoin

Il Dipartimento di Giustizia degli Stati Uniti ha dichiarato di essere entrato in possesso del denaro, una parte dei 600000 Bitcoin che si stima la piattaforma abbia guadagnato negli anni di attività (ndr: allora un BTC valeva molto meno di oggi). La domanda che in tanti si sono posti è come abbiano fatto: sono effettivamente riusciti a violare la blockchain o un wallet?

All’interno del Dipartimento di Giustizia esiste un apposito nucleo investigativo il cui compito principale è quello di seguire i flussi di denaro, anche delle criptovalute. Follow-the-money, del resto, è una strategia molto efficace contro il crimine organizzato. Purtroppo però non sono stati loro a forzare il wallet, hanno però rintracciato chi aveva precedentemente forzato Silk Road e instradato parte delle transazioni verso (almeno) due wallet che lui stesso controllava. Riuscì a farlo senza hackerare il wallet in sè, ma il meccanismo (detto la lavatrice) che Silk Road utilizzava per non dare ai compratori i codici reali dei suoi wallet; altrimenti sarebbe stato facile per le autorità fingersi acquirenti per avere gli indirizzi (ossia le chiavi pubbliche).

Il meccanismo in questione, chiamato “tumbler” inviava tutte le transazioni attraverso una serie complessa e semi-randomica di transazioni fantoccio. Come detto, tutte le transazioni sono scritte nel registro pubblico con chiave pubblica sorgente, quella di destinazione e il valore. Quindi non è sufficiente spostare lo stesso valore su un terzo wallet in quanto sarebbe facilmente rintracciabile. No, l’ingegnoso sistema di lavanderia prevedeva di separare la transazione iniziale in moltissime di importo diverso e di diluirle nel tempo. La ledger è unica e memorizza in ordine cronologico: un numero indefinitamente grande di transazioni con valori casuali sarebbe il classico ago nel pagliaio.

La nostra tesi è che l’autore fosse complice del meccanismo: lo stesso sito Silk Road pubblicizzava l’efficacia del loro “tumbler” indicando che fosse stato scritto da zero da un team di talentosi sviluppatori con molta esperienza. Uno di loro deve aver pensato di emulare qualche tecnico bancario degli anni ottanta, quando si informatizzarono le transazioni e nell’euforia del momento non si fece molta attenzione al terzo e quarto decimale. Deduzione dovuta alle evidenze investigative che rilevarono che Ulbricht fosse al corrente dell’identità di “Mr.X” e che lo avesse intimato di restituite il malloppo. Del resto il 10% del totale non è esattamente un decimale.

Mr.X non fece nulla di tutto questo fino al 5 novembre 2020 quando firmò un accordo con il Dipartimento di Giustizia per la restituzione del wallet. Evidentemente gli investigatori devono essere riusciti a ricostruire la catena delle transazioni e a dare un nome a “Mr.X”.

Follow-the-money funziona: ci hanno messo del tempo ma, alla fine, sono rientrati in possesso di un miliardo di dollari.